使用 Amazon GuardDuty 偵測威脅

Amazon GuardDuty 是一種威脅偵測服務，可協助您使用 AWS 環境來保護您的帳戶、容器、工作負載和資料。透過使用機器學習 (ML) 模型和異常和威脅偵測功能，GuardDuty 會持續監控不同的日誌來源，以識別環境中的潛在安全風險和惡意活動的優先順序。例如，GuardDuty 將偵測潛在威脅，例如異常或可疑的秘密存取，以及憑證洩漏，以防它透過執行個體啟動角色偵測專門為 Amazon EC2 執行個體建立，但正從其中的其他帳戶使用中的登入資料 AWS。如需詳細資訊，請參閱 Amazon GuardDuty 使用者指南。

另一個用於偵測的範例使用案例是異常行為。例如，如果 AWS Secrets Manager 通常使用 Java 開發套件從實體取得 create-secret、describe-secret、 和 get-secret-valuelist-secrets呼叫，然後不同的實體開始 AWS CLI 從 VPN 外部呼叫batch-get-secret-value和get-secret-value使用 ，GuardDuty 可以報告第二個實體異常叫用 APIs 的問題清單。如需詳細資訊，請參閱 GuardDuty IAM 調查結果類型 CredentialAccess：IAMUser/AnomalousBehavior。